我目前正在与以下演员合作开展一个项目:
我正在使用HTTPS(带有可信证书)来与服务器通信。 要从服务器检索数据,使用GET方法。 为了将数据推送到服务器,移动应用程序通过HTTPS使用POST方法。
由于其敏感数据,必须保护某些传输,例如用户登录/用户数据更新。
我应该使用哪种解决方案来强制执行这些转移安全措施?
感谢您的帮助!
答案 0 :(得分:0)
如果您使用的是HTTPS,那么您已经拥有了一级安全性。 要添加另一个级别,您可以在发送到服务器之前加密和解密密码。
iOS支持AES256加密。
和iphone示例
http://developer.apple.com/library/ios/#samplecode/CryptoExercise/Introduction/Intro.html
我不是100%肯定,但你也可以获得类似的Android安卓API。
答案 1 :(得分:0)
SSL是可行的方式,并且会将数据加密,因此流中的任何人都无法读取。通过SSL运行所有交互,这样就不会以未加密的形式公开凭据(UN / PW)或会话cookie。 SSL是执行此操作的行业标准方法,并且符合您指定的所有要求。
如果要将服务器应用程序的访问权限仅限于客户端,则可以部署经过相互身份验证的SSL。在客户端应用程序中嵌入客户端SSL证书,并将服务器配置为仅接受来自在连接时提供该证书的客户端的传入请求。